Бюджетное учреждение здравоохранения Орловской области
Адрес:
Орловская область, Дмитровский район, г. Дмитровск, ул. Социалистическая, д.26
Телефон:
Главная \ Нормативные документы \ ПОЛИТИКА БУЗ Орловской области «Дмитровская ЦРБ» в отношении обработки персональных данных

ПОЛИТИКА БУЗ Орловской области «Дмитровская ЦРБ» в отношении обработки персональных данных

 

 

ПОЛИТИКА

БУЗ Орловской области «Дмитровская ЦРБ»

в отношении обработки персональных данных

 

Настоящий документ разработан в соответствии с Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 года и определяет политику БУЗ Орловской области «Дмитровская ЦРБ» (далее – Оператор, Учреждение) в отношении обработки персональных данных.

БУЗ Орловской области «Дмитровская ЦРБ» является оператором персональных данных, самостоятельно или совместно с другими лицами организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, а также обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

1. Основные понятия.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Категории субъектов, персональные данные которых обрабатываются в Учреждении.

2.1. Лица, обратившиеся в Учреждение за медицинской помощью.

2.2. Граждане, подавшие в Учреждение обращения (заявления, жалобы, предложения), претензии.

2.3. Работники Учреждения (в рамках трудовых отношений).

3. Основания и цели обработки персональных данных.

3.1. Учреждение осуществляет обработку персональных данных в соответствии с требованиями следующих нормативных правовых актов:

- Конституции Российской Федерации (принята всенародным голосованием 12 декабря 1993 года);

- Гражданского кодекса Российской Федерации от 30 ноября 1994 года № 51-ФЗ;

- Налогового кодекса Российской Федерации от 05 августа 2000 года № 117-ФЗ;

- Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ;

- Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

- Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

- Федерального закона от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».

3.2. Обработка персональных данных граждан (их законных представителей) необходима для осуществления Учреждением деятельности в сфере охраны здоровья и осуществляется исключительно в целях:

- соблюдения законов и иные нормативных правовых актов;

- защиты законных прав и интересов граждан при оказании медицинской помощи;

- исполнения договорных обязательств оказание медицинских услуг;

- соблюдения трудового законодательства;

- осуществления бухгалтерской и экономической деятельности.

4. Общие принципы обработки персональных данных.

4.1. Обработка персональных данных в Учреждении осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных», и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейной тайны, а именно:

- законности заранее определенных конкретных целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- обеспечения надлежащей защиты персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

- уничтожения по достижении целей обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обеспечения конфиденциальности обрабатываемых персональных данных.

4.2. Обработка персональных данных субъектов персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.

4.3. К обработке персональных данных допускаются только те работники учреждения, доступ которых к персональным данным необходим для исполнения ими служебных (трудовых) обязанностей. Указанные работники имеют право получать только те персональные данные и в том объеме, которые необходимы им для выполнения своих служебных (трудовых) обязанностей.

4.4. Работники учреждения, допущенные к обработке персональных данных, информируются об условиях и правилах обработки персональных данных, режимах защиты информационных систем персональных данных, порядке хранения материальных носителей персональных данных.

5. Права и обязанности субъекта персональных данных и оператора.

5.1. Субъект персональных данных обязан:

- предоставить достоверные персональные данные, необходимые для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации.

5.2. Субъект персональных данных имеет право:

- получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- отозвать свое согласие на обработку персональных данных;

- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

5.3.Оператор обязан:

- принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;

- разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;

- осуществлять блокирование неправомерно обрабатываемых персональных данных;

- осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;

- уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;

- предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными правовыми актами.

5.4. Оператор имеет право:

- требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации;

- обрабатывать персональные данные субъекта, предоставлять персональные данные субъекта третьим лицам без его согласия, если это предусмотрено Федеральным законодательством Российской Федерации;

- поручать обработку персональных данных другим лицам с согласия субъекта персональных данных;

- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.

6. Обеспечение безопасности персональных данных.

6.1. Учреждение принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, обеспечения достаточного уровня их защиты, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных и сохранности материальных носителей сведений, содержащих персональные данные.

6.2. В целях обеспечения безопасности персональных данных Оператором выполняются следующие мероприятия:

- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных,обеспечение безопасности персональных данных в информационных системах;

- определение и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- принятие локальных нормативных актов по защите персональных данных;

- утверждение перечня работников, имеющих право доступа к персональным данным и их обработки;

- ознакомление работников с требованиями федерального законодательства и нормативных документов по обработке и защите персональных данных;

- использование средств защиты персональных данных от несанкционированного доступа к ним (системы разграничения прав доступа к информации, криптографическая защита, аутентификация пользователя, межсетевое экранирование);

- установление парольной защиты при осуществлении доступа пользователей к информационной системе персональных данных;

- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) с помощью установленного антивирусного пакета;

- соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов – носителей персональных данных в закрытых шкафах, сейфах, исключение визуального доступа к мониторам, установление охранной сигнализации;

- реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;

- учет и хранение материальных носителей персональных данных в условиях, обеспечивающих их сохранность;

- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий граждан или содержатся персональные данные, обработка которых осуществляется в разных целях;

- резервное копирование информации и обеспечение возможности восстановления персональных данных;

- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;

- обеспечение контроля за порядком обработки персональных данных и обеспечения их безопасности, поддержания установленного уровня защищенности информационных систем персональных данных.

7. Заключительные положения.

Настоящая Политика является общедоступной и размещается в открытом доступе с целью обеспечения возможности ознакомления с ней неограниченного количества лиц.

За нарушение законодательства о персональных данных лица, допустившие указанные нарушения, несут дисциплинарную, административную, уголовную и гражданско-правовую ответственность.